SECURITY ALERT / PRESSEMITTEILUNG Erneut Malware-Welle im Sparkassen-Look Die Mail-Security-Experten von NoSpamProxy warnen vor einer akuten Bedrohung durch gefälschte Mails im Look der Sparkasse, die von Laien kaum als solche zu erkennen sind. Paderborn, 20. April 2017 – Das Research-Team von Net at Work GmbH, dem Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy, hat eine besonders perfide Form eines Phishing- bzw. MalwareAngriffs entdeckt. Aktuell finden viele Nutzer eine täuschend echt wirkende Mail in ihrem Postfach, die vorgibt, vom Sparkassen-Finanzportal zu stammen und augenscheinlich von der Domain sparkasse.de versendet wurde. Die Mail ist professionell gemacht und nennt sowohl Vor- und Nachnamen in der Anrede (Abbildung 1). Einzig eine ungewöhnliche Firmenbezeichnung („Sparkasse AG“) und der über den Google-URL-Shortener gekürzte Link können beim geübten Nutzer Verdacht aufkommen lassen. Um diesen jedoch zu bestätigen, muss man tief in den Mail-Header eintauchen – ein Detailwissen, über das nur Experten verfügen dürften. In den Headerinformationen der Mail erkennt der Fachmann eine Warnung auf den SPF-Softfail, der moniert, dass die Mail in Wirklichkeit nicht von der Domain sparkasse.de versendet wurde (Abbildung 2). Leider wird diese Warnung in vielen Fällen von der Mail-Security-Infrastruktur nicht erkannt oder ernstgenommen. So wird die Mail beispielsweise von Microsoft-Office 365 mit Hosting in der deutschen Cloud klaglos zugestellt. Für einen normalen Nutzer ist dieser Betrugsversuch nicht oder nur sehr schwer zu erkennen. Klickt er auf den Link, der auf eine erst am Tag des Versands registrierte .us-Domain führt, kann der Rechner mit Schadcode, wie z.B. einem Keylogger oder einem Verschlüsselungs-Trojaner infiziert werden. Zum Zeitpunkt der Untersuchung, rund 10 Stunden nach Registrierung der Domain und 3 Stunden nach Empfang der Mail wurde der dort platzierte Schadcode von den gängigen Scannern nicht erkannt. Hier liegt auch ein Schwachpunkt in der Abwehr: Keiner der bekannten Scanner hätte die E-Mail zum Zeitpunkt des Versands beanstandet. Dieses Problem wäre durch Nutzung der Absenderreputation einfach vermeidbar Nach Ansicht der Mail-Security-Experten aus Paderborn ist besonders ärgerlich, dass es wirksame Mittel zur Unterbindung derartiger Attacken bereits gibt, die aber unzureichend genutzt werden. Mit den aktuellen Standards zur Absenderreputation kann diese Angriffsform sicher erkannt und abgewehrt werden. Die Prüfung der Absenderreputation greift im Gegensatz zu den Malware-Scannern grundsätzlich sofort, da sie nicht von Samples und Analysezeiten abhängig ist. Dazu sind jedoch zwei wesentliche Voraussetzungen erforderlich: Erstens sollten alle Unternehmen und Organisationen die verfügbaren Standards zur Absenderreputation nutzen. So hat die Sparkassen-Organisation für die Domain sparkasse.de keinen DMARC Record konfiguriert. Wäre dies geschehen, hätte sie zumindest frühzeitig Reports über den Missbrauch ihrer Domain erhalten und proaktiv informieren können. Zweitens sollten alle Mail-Security-Lösungen die Daten zur Absenderreputation konsequent auswerten und Mails mit Auffälligkeiten in diesem Bereich blocken oder zumindest deutlich als gefährlich kennzeichnen. Dass diese funktioniert, können die Experten von Net at Work am eigenen Unternehmen deutlich machen. Auch Mitarbeiter in der Buchhaltung von Net at Work sollten diese Mail erhalten. Die neuste Version von NoSpamProxy hat die Auffälligkeit über das Senderreputationssystem sicher erkannt und die Mail abgelehnt (Abbildung 3). „Dieser aktuelle Fall zeigt wieder, dass die Angreifer immer bessere Methoden entwickeln, ihre Angriffe zu verschleiern“, sagt Stefan Cink, E-Mail-Sicherheitsexperte bei Net at Work. „Diese Form des Angriffs lässt sich Seite 1 mit einer konsequenten Nutzung der Absenderreputationsstandards abwehren. Jetzt sind alle Unternehmen und andere Organisationen aufgefordert, diese endlich zu nutzen, um Kunden und Mitarbeiter vor dieser Gefahr zu schützen. Hersteller von Mail-Security-Lösungen, die diese Funktionen in Ihren Produkten nicht oder unzureichend umgesetzt haben, müssen sich zu Recht vorwerfen lassen, leichtfertig die Sicherheit Ihrer Kunden aufs Spiel zu setzen.“ Abbildung 1: Perfekt gemachte Betrugsmail im Look der Sparkasse Abbildung 2: Nur wer tief in die Headerinformationen einsteigt, kann eine Warnung entdecken Seite 2 Abbildung 3: Senderreputationssystem von NoSpamProxy erkennt den Betrugsversuch sicher Weitere Informationen über die integrierte Mail-Security-Suite NoSpamProxy erhalten Sie hier: https://www.nospamproxy.de Interessenten können NoSpamProxy mit telefonischer Unterstützung kostenlos testen: https://www.nospamproxy.de/de/produkt/testversion Zusammenfassung Die Mail-Security-Experten von NoSpamProxy warnen vor einer akuten Bedrohung durch gefälschte Mails im Look der Sparkasse, die von Laien kaum als solche zu erkennen sind. Abhilfe schafft nur eine konsequente Nutzung von Standards zur Absenderreputation. Keywords Malware, Sparkasse, Absenderreputation, DMARC, Secure E-Mail, Gateway, Anti-Virus, Anti-Spam, Anti-Malware Über Net at Work und NoSpamProxy Die 1995 gegründete Net at Work GmbH ist Softwarehaus und Systemintegrator mit Sitz in Paderborn. Gründer und Gesellschafter des Unternehmens sind Geschäftsführer Uwe Ulbrich und Frank Carius, der mit www.msxfaq.de eine der renommiertesten Websites zu den Themen Exchange und Skype for Business betreibt. Als Softwarehaus entwickelt und vermarktet Net at Work mit NoSpamProxy eine integrierte Gateway-Lösung für Secure EMail. NoSpamProxy bietet sichere Anti-Malware-/Anti-Spam-Funktionen, eine automatisierte E-Mail-Verschlüsselung sowie einen praxistauglichen Large File Transfer auf einer technischen Plattform. So garantiert der modulare Ansatz von NoSpamProxy eine vertrauliche und rechtssichere E-Mail-Kommunikation. Die Experton Group sieht NoSpamProxy als Product Challenger für E-Mail- und Web-Kollaboration. Zu den mehr als 1.800 Unternehmen, die die Sicherheit ihrer MailKommunikation NoSpamProxy anvertrauen, gehören u. a. DaimlerBKK, Deutscher Ärzte-Verlag, Hochland, Komatsu Mining, das Kommunale RZ Minden-Ravensberg/Lippe und SwissLife. Weitere Informationen zur E-Mail Security Suite NoSpamProxy finden Sie unter www.nospamproxy.de. Im Servicegeschäft bietet Net at Work ein breites Lösungsportfolio rund um die IT-gestützte Kommunikation und die Zusammenarbeit im Unternehmen mit einem besonderen Schwerpunkt auf dem Portfolio von Microsoft. Als Microsoft Gold Partner für Messaging, Communications, Collaboration and Content, Cloud Productivity und Application Development gehört Net at Work zu den wichtigsten Systemintegratoren für Microsoft Exchange, SharePoint und Skype for Business. Das Seite 3 erfahrene Team von langjährigen IT-Experten verfügt über umfassendes Know-how bei der Umsetzung individueller Kundenanforderungen und berücksichtigt bei Projekten neben der Skalierbarkeit, Flexibilität und Sicherheit der Lösung auch die Einhaltung der definierten Zeit- und Budgetziele. Kunden finden somit bei allen Fragen kompetente Ansprechpartner, die ihnen helfen, modernste Technologien effizient und nahtlos in bewährte Geschäftsprozesse zu integrieren. Zu den Kunden im Servicegeschäft gehören u. a. Goldbeck, Miele, die Spiegel Gruppe, die Universität DuisburgEssen sowie Wincor Nixdorf. Weitere Informationen zum Unternehmen Net at Work und dem Serviceangebot finden Sie unter www.netatwork.de. Unternehmenskontakt Frau Aysel Nixdorf, Marketing & PR, T +49 5251 304627, aysel.nixdorf(at)netatwork.de Net at Work GmbH, Am Hoppenhof 32 A, D-33104 Paderborn, www.netatwork.de Pressekontakt Herr Bernd Hoeck, Managing Partner, T +49 7721 9461 220, bernd.hoeck(at)bloodsugarmagic.com bloodsugarmagic GmbH & Co. KG, Gerberstr. 63, D-78050 Villingen-Schwenningen, www.bloodsugarmagic.com Seite 4